PDA

Visualizza la versione completa : E' Sicuro il modulo CGI.pm ?


Graziano
23-10-2006, 19:40
Salve a tutti,
Vorrei sapere se Ŕ sicuro utilizzare il modulo CGI.pm.
mi spiego meglio:
So che attraverso la QUERY_STRING Ŕ possibile passare ad uno script delle istruzioni che possono creare problemi se non opportunamente "filtrate".
Per cui nei miei script ho sempre inserito degli elementi di filtraggio per quanto riguarda il contenuto degli input GEt e POST.
Se non ricordo male le subs che uso per il filtraggio me le aveva fatte avere Shishii.
Ora, dato che vorrei usare il modulo in oggetto, vorrei sapere se i valori che ottengo dal modulo esempio:

$offset = $q->param('offset');

sia opportunamente "filtrato" e sicuro.

Che mi dite ? Mi posso fidare ? O magari c'Ŕ qualche altra fregatura nell'uso del modulo CGI.pm???

Grazie

shishii
24-10-2006, 18:29
Il problema Ŕ mal posto.

CGI.pm Ŕ un modulo che consente la manipolazione pi¨ semplice delle varie operazioni CGI. Il filtraggio degli input Ŕ a carico del programmatore. Non so di funzioni automatizzate tipo alcune esistenti in PHP, ma non ne sento la mancanza.

Per capirci, se non hai necessitÓ particolari ti basta fare:

die "Errore caratteri non ammessi nella query" if ($q->param('offset') !~ /[a-zA-Z0-9_ -]+/);

ed eviti qualunque possibile carattere maligno.

Graziano
25-10-2006, 12:52
Si, ho capito.
Pensavo che magari il modulo giÓ bloccase questi caratteri "maligni". Mettero allora la tua espressione regolare tanto per stare tranquilli.

Loading